CYBER NEWS

NjRAT Lime Edition Trojan In-Depth Analysis: Een Krachtige hacken wapen

De security gemeenschap heeft gemeld dat de NjRat Lime Edition Trojan is onlangs bijgewerkt met een nieuwe ransomware component. Het feit dat deze hacking tool is populair onder computercriminelen zowel op de ondergrondse hacker markten en de gemeenschappen betekent dat het waarschijnlijk is dat de aanvallen zullen worden gelanceerd met het zeer snel. De verwachte toekomstige aanval kan nemen hele netwerken op mondiaal niveau. Dit is de reden waarom we het nemen van een diepgaande blik in de NjRat Lime Edition Trojan door het analyseren van al haar mogelijkheden.

njRAT Lime Edition Trojan Overzicht: Waarom is die belangrijk

De NjRat Lime Edition Trojan is een nieuwe malware die onlangs is geïdentificeerd door de security community. Wat maakt het uniek onder vele anderen is het feit dat zelfs in zijn eerste releases het omvat bijna alle van de modules in geavanceerde bedreigingen. De programmeurs achter de rug hebben ook gepost het uitvoerbare bestand gratis op de ondergrondse locaties. De nieuwste versie is 0.7.8 vrijgegeven slechts een paar dagen geleden.

We zijn erin geslaagd om een ​​kopie van de bedreiging te verkrijgen is via de gevaarlijke bronnen. Het is interessant om op te merken dat het wordt geadverteerd als een malware hacking hulpmiddel afstandsbediening, terwijl op hetzelfde moment met het opschrift “Alleen voor educatief gebruik”. De eerste publieke release versie gevolgd door de gemeenschap (11/9/2017) is bekend 0.7.6. Dit maakt de nieuwste update slechts een punt vrijlating.

WAARSCHUWING! We hebben de uitvoerbare bestanden en de bijbehorende documentatie verkregen op dit artikel uitsluitend voor het onderwijs voor te bereiden. Zullen wij niet toestaan ​​hacking en malware operaties.

NjRAT Lime Edition Trojan Bezorgingsmethoden

Afhankelijk van de hacker tactiek van de NjRAT Lime Edition Trojan kan worden geïmplementeerd met behulp van een andere tactiek. Een van de mogelijke manieren om de infecties is door middel van een payload downloader. Dit kan op de volgende manieren:

  • E-mailberichten - De malware operatoren kunnen bots gebruiken om berichten die vergemakkelijken templates gericht op chanteren de gebruikers downloaden en uitvoeren van een bepaalde geïnfecteerde bestand te genereren. Het kan ofwel een uitvoerbaar bestand, archiveren of document. Wat ook het geval als het eenmaal is gedownload en uitgevoerd van de infectie met de NjRAT Lime Edition Trojan wordt gestart. In het geval van documenten kunnen malware scripts in vrijwel worden opgenomen alle van de meest gebruikte formaten: databases, presentaties, rich text documenten en spreadsheets.
  • downloads - Besmette gevallen kan op download portals worden geplaatst en gefaciliteerd door middel van pop-ups en web redirects.
  • Browser hijackers - Dangerous web browser plugins kan worden gebruikt om malware te installeren zoals deze. Ze zijn meestal gemaakt voor de meest populaire toepassingen: Mozilla Firefox, Google Chrome, Safari, Microsoft Edge, Internet Explorer en Opera.
Verwante Story: Emotet Trojan Bescherming Gids: Hoe de Hacker aanvallen tegen

NjRAT Lime Edition Trojan Infection Phase: Hoe het allemaal begint

Zodra de NjRAT Lime Edition Trojan heeft zijn weg naar de host-computers een van de eerste acties die het doet is om het systeem te controleren of er geen stromend debugging of beveiliging instances. Effectief de dreiging erin slaagt om zich in een te installeren heimelijkheid wijze door het opzoeken van de handtekeningen van virtuele machines (VirtualBox en VMWware), sandbox-omgevingen, procesanalyse nutsvoorzieningen (Process Explorer), networking tools (Wireshark) en andere systeembeheer software (ApateDNS). Als het niet in staat is te verwijderen of uit te schakelen dan het virus zelf kan verwijderen om ontdekking te voorkomen.

De security analisten hebben ook ontdekt dat het niet onmiddellijk kan starten nadat de infectie is gedaan. Deze “slaap” functie wordt geïmplementeerd n om anti-virus motoren die veronderstellen dat een virus zou beginnen om het systeem bij de eerste infectie te manipuleren voor de gek. De NjRAT Lime Edition Trojan is ook gevonden om een ​​in te stellen persistent installatie die op effectieve wijze een handmatige verwijderingsmethoden. Het controleert voortdurend het gedrag van gebruikers en schakelt alle acties die kunnen interfereren met de processen.

Andere acties die in deze eerste fase van de malware worden ingeroepen onder meer veranderingen in het systeem. Ze zijn bewust gemaakt van het systeem voor de follow-up malware acties voor te bereiden. Voorbeelden omvatten de volgende:

  • De toevoeging van een verborgen Client - De NjRAT Lime Edition Trojaanse paard creëert een verborgen proces dat niet gemakkelijk kan worden geïdentificeerd door de gebruiker of de systeembeheerder. Het heeft de mogelijkheid om nieuwe te creëren, aansluiten op bestaande applicaties en zijn privilege niveaus naar believen te wijzigen.
  • malware Stoper - De Trojan code kan bestaande infecties te identificeren en de overname van de controle over hen, wat betekent dat de hackers hun instellingen kunnen manipuleren of zelfs tijdelijk de virussen uit te schakelen.
  • plugin Addition - De hackers die het verkrijgen de mogelijkheid verder aanpassen door het toevoegen van aangepaste plugins het modulaire raamwerk.
  • verduistering - Om te voorkomen dat de detectie van de infectie motor en alle bijbehorende bestanden kunnen zich op een systeem locatie kopiëren en te verdoezelen hun namen. Het kan ook de uitbreiding en het pictogram veranderen.

NjRAT Lime Edition Trojan Capabilities

Zodra alle elementaire infectie acties completeren het NjRAT Lime Edition Trojan de malware blijft verder. De motor bevat een netwerk client die de hackers mogelijk maakt om op afstand de geïnfecteerde gastheren. Onze security analyse blijkt dat dit omvat ook de macht opties zoals afsluiten en herstarten. Via Internet beveelt de computers kan worden geïnstrueerd om DDOS uit te voeren (distributed denial of service) aanvallen gestelde doelen. Om een ​​optimale connectiviteit te vergemakkelijken de operatoren kunnen de cliënten te instrueren om zich tijdelijk te slapen of sluit op bepaalde intervallen. De Trojan kan ook infecteren USB-apparaten en andere netwerkapparaten.

Een GEEN IP dynamische DNS server kan eventueel worden geactiveerd om de botnet worden toegediend op een efficiëntere manier. Het is heel goed mogelijk voor een crimineel collectieve te verhuren de gemaakte malware infrastructuur aan andere hackers. Aan de andere kant als de computer hosts zijn geplaatst in totale controle van de Trojaanse code van de kwaadwillende gebruikers kunnen prank-achtige instellingen, zoals in te stellen: muis omkering, ploeteren met de inhoud van het klembord, wijziging van de taakbalk, om de monitor aan en uit te schakelen en het genereren van audio-bericht via de tekst van het besturingssysteem naar spraak-engine. Belangrijke onderdelen van het besturingssysteem kan worden uitgeschakeld of zelfs verwijderd (Task Manager en Event Viewer), evenals alle logbestanden verwijderd.

Door het kapen van de regionale instellingen van het systeem en de gebruiker de configuratie van de criminelen een gevoel van hun locatie kunnen krijgen. Daarnaast is er een openbare geografische databases wordt gevoed met het IP-adres en alle andere relevante waarden te helpen lokaliseren van de slachtoffers naar een meer precieze locatie. Als het gaat om informatie oogsten zijn er twee belangrijke categorieën die kunnen worden onderscheiden:

  • Persoonlijk identificeerbare informatie - De verzamelde gegevens kunnen direct de identiteit van de gebruiker door het oogsten van informatie bloot te leggen, zoals hun echte naam, adres, telefoon, belangen, voorkeuren en etc.
  • System data - De NjRAT Lime Edition Trojan heeft de mogelijkheid om veel gevoelige informatie uit de hostcomputer, waaronder de beschikbare hardware componenten, geïnstalleerde software-applicaties en etc.

Uit onze analyse blijkt dat een andere mogelijke use case scenario is een torrent zaaimachine. De hackers kunnen gebruik maken van de beschikbare schijfruimte en netwerkaansluiting stromen welke verhouding produceert zaad (beoordeling) voor hun rekeningen op de gelinkte torrent trackers. In veel gevallen is de inhoud illegaal (piraat) materialen.

Verwante Story: Ursnif v3 Banking Trojan on the Loose met Intelligente Targeting

De NjRAT Lime Edition Trojan Ransomware Engine Exposed

De nieuwste versie van de malware bevat nu een ransomware component. De hackers achter de rug hebben diepe customization opties die vergelijkbaar zijn met geavanceerde stammen van de meest bekende malware families zijn gebundeld. In een gefaseerde levering kan de ransomware component worden gelanceerd nadat andere malware acties hebben voltooid. Dit geldt vooral als de hackers gebruikersgegevens wilt downloaden, het zou moeten worden gedaan voordat de encryptiesleutel fase wordt bezet.

De ransomware zelf kan een aangepaste lijst van target bestandsextensies gebruiken. Meestal zijn de hackers hebben de neiging om de meest gebruikte data zoals een eventuele gevonden archieven omvatten, backups, documenten, afbeeldingen, muziek, video, configuratiebestanden en etc. De modulaire structuur maakt het mogelijk de hackers om zelfs een witte lijst en zwarte lijst. Het verbod op bepaalde mappen is meestal verbonden met systeemmappen die problemen met de computers kunnen veroorzaken als hun bestanden worden gewijzigd.

Zodra de ransomware proces is klaar met een specialist extensie kan worden toegevoegd aan het slachtoffer bestanden om ze gemakkelijk te identificeren. Andere methoden die kunnen worden gebruikt om de gebruikers te chanteren in de hacker operators betalen kan de volgende:

  • wallpaper Change - De hackers kunnen een wallpaper verandering die een deel van de ransomware noot kan tonen instellen.
  • ransomware Note - Ransomware notes zijn meestal gemaakt in tekstbestanden of rijke documenten die chantage tactiek die proberen om de slachtoffers te manipuleren in het betalen van de hackers in het betalen van een “decryptie fee”.
  • Lockscreen aanleg - Een toepassing frame kan worden ingesteld op de computer van het slachtoffer die effectief blokkeert normale interactie totdat de dreiging volledig is verwijderd.

Gevolgen van een NjRAT Lime Edition Trojan Infection

Na deze wordt erg de algemene mogelijkheden van de NjRAT Lime Edition Trojan toestaan ​​vrijwel onbeperkte controle van de gastheer machines. Als de crimineel collectieve slaagt erin om een ​​voldoende groot aantal geïnfecteerde hosts infecteren dan een botnet kan worden gecreëerd. De grafische user interface die wordt gebruikt door de exploitanten hen in staat stellen om de meest gebruikte commando's gemakkelijk te lanceren. De volledige lijst geëxtraheerd uit een live-monster leest de volgende gegevens:

  • Manager - Hiermee kan de hackers om een ​​overzicht van de geïnfecteerde gastheer te ontvangen.
  • run File - Voert een doel bestand op de host computer.
  • Remote Desktop - lanceert de spionage module die het scherm gebruikers en hun acties in real time weergeeft.
  • Microfoon - Neemt microfoon van het slachtoffer en stuurt de audio-bestanden naar de hacker operators.
  • malware Killer - Schakelt gevonden malware via een handtekening scan.
  • Keylogger - hijacks toetsaanslagen en muisbewegingen.
  • volharding - Stelt de NjRAT Lime Edition Trojan op een manier die een handmatige verwijdering pogingen voorkomt.
  • Open Chat - Hiermee kan de hackers om berichten naar de slachtoffers die worden weergegeven als app window pop-ups maken.
  • spread USB - infecteert aangesloten verwijderbare opslagapparaten.
  • PC - Haalt bestanden van de besmette computers.
  • Cliënt - Opent de Client voorkeuren.
  • Open folder - Laat de toegang tot lokale stations de geïnfecteerde gastheer.

Gebruikers kunnen zich beschermen door middel van een kwaliteit anti-spyware oplossing. We raden alle gebruikers scannen hun systemen zo snel mogelijk.

Download

Malware Removal Tool


Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten - Website

Volg mij:
TjilpenGoogle Plus

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...